Перейти к содержимому
Калькуляторы

Все вланы на все порты. Плюсы и минусы.

Собственно появился у нас один наголову умный начальник.

 

Схема:

L3 -> l2-агрегатор -> l2 свитч на доме. -> л2 свитч в соседнем подъезде

 

В данный момент на порт Л3 в который воткнут Л2 агрегатор прокинуты транком только необходимые вланы (порядка 512).

Далее на каждый порт Л2 агрегатора прокинуты вланы только для конкретного дома. И т.д.

 

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

(2-9 исполюзуються как магистральные).

На л2 агрегаторе прокинуть все вланы на все порты.

на л2 свитче на доме сделать только нужные вланы

на л2 свитче в соседнем подъезде опять же разрешить все во все стороны на аплинке.

 

Собственно нужна помощь чтоб аргументированно объяснить человеку что ненадо так делать.

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пожалуй единственный аргумент в пользу идеи вашего начальника - включение MSTP, для которого как бы на всех устройствах должна быть единая конфигурация вланов.

однако на практике и оно не нужно.

доводы против такой идеи:

- не все коммутаторы переваривают "много" вланов. особенно если они все активны.

- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.

- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.

- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

 

 

...

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.

Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

А там есть столько? И все терминирует? Модель?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.
какие ещё "броадкаст потоки"?
- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.
непонятная фраза
- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink

 

 

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.
с чего бы им перестать открываться?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какие ещё "броадкаст потоки"?
udp : dst 255.255.255.255, к примеру..
Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..

 

с чего бы им перестать открываться?
вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.
единственное что приходит в голову - автоматизация назначения vlan на группу (например для возможности организации точка-точка или точка-многоточка каналов 2го уровня средствами snmp), но тогда тут имеет смысл ковырять в сторону gvrp/vtp.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

udp : dst 255.255.255.255, к примеру..
сам по себе vlan никаких броадкастовых потоков не создаёт
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..
согласен, есть у dlink минусы и баги, но не о них ведь речь сейчас?.

 

вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сам по себе vlan никаких броадкастовых потоков не создаёт
когда vlan пустой, то да, но закинь в него хотя бы один компьютер с виндой - броадкаст появится
мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.
собсна поэтому в соседней теме я отписался что secondary на интерфейсах шлюза делать не хорошо.

хуже конечно когда невозможно всю сеть разом сегментировать, особенно если там исторически на один интерфейс шлюза альясами с десяток /24х масок навешано, а народ не очень шевелится.

в этих случаях теоретически можно разводить ip unnumbered + proxy-arp и потихоньку раскидывать чуть ли не влан на пользователя, но на практике всплывает море подводных камней.

и приходится по старинке - выделил отдельные сетки на каждый сегмент -> перевел абонентов на новые сетки -> инкапсюлировал полностью переведенные сетки в нужные вланы.

и поверьте - если сети 5-10 и более лет, такой дурдом в ней вполне реален. особенно если о сегментировании задумываться начали не более 2-3х лет назад.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.